特集

【第1回】2022年のWi-Fi事情、速くて便利、でもセキュリティは大丈夫!?

最新「Wi-Fi 6」ルーターで“安全なWi-Fi”を利用するために知っておきたいコト

 PCやスマートフォンでの通信は、「Wi-Fi(ワイファイ)」の普及により、とても高速で身近になりました。

 しかし、無線を使った通信であるため、不正アクセスや情報漏えいを防ぐ“セキュリティ対策”がとても重要で、自宅やオフィスのWi-Fiルーター、手持ちのモバイルWi-Fiルーターは必ず正しく設定して利用し、公共の場のWi-Fiサービスは安全に注意して利用する必要があります。本稿でWi-Fiの接続を安全に使っていくための“基礎”を改めて確認しておきましょう。


そもそも「Wi-Fi」って何? 通信の安全は誰がどう守るの?

 「Wi-Fi」を利用すれば、スマートフォンやPCで簡単に高速なインターネットを使うことができてしまうので、普段はあまり意識することがないかもしれませんが、非常に高度な無線通信技術を用いています。「無線LAN」という呼び方もされていることから分かるように、広く普及していた有線ケーブルで接続していた自宅や会社内などのネットワーク(LAN)を、無線を使ってケーブルレスにしたものです。

 家庭内や会社内などで使うWi-Fiなどのネットワークは、「購入した人が誰でも使いやすい」ように作られた規格や製品です。そのため、扱いやすく、導入も比較的容易なので、たとえば「自宅用にWi-Fiルーターを買ってきて設置する」ということも簡単です。ただし、セキュリティや管理・設定の責任はユーザー自身の手にゆだねられています。

 一方、「5G」や「4G」などという呼び方で知られている携帯電話回線(モバイル回線)は、限られた通信事業者(接続キャリア)によって回線や接続、機器が細かく管理されているため、非常に安全なネットワーク網となっています。その代わり、一般ユーザーが自由に回線を敷設したり、細かな設定を行なったりすることはできません。

 しかし、誰にでも導入しやすく扱いやすい反面、セキュリティ面では“自衛”が必要です。安全に使う上でのポイントは「通信の覗き見を防ぐ」ことにあります。

 実は、Wi-Fiの無線は電波の届く範囲内であれば受信すること自体は誰でも可能です(スマホなどで、周囲にあるWi-FiルーターのSSIDを見ることができるのは、そのルーターの電波を受信できているためです)。電波自体は誰でもたやすく受信できてしまうので、データを守るには、「電波に含まれているデータの内容を見ることができないようにする」ための仕組みが必要なのです。

 たとえば、使う側が不特定多数の人に見られないように通信に自分用にカギをかけるような機能を利用します。これがいわゆる「Wi-Fi通信の暗号化」という技術で、ここで言う“カギ”にあたるものが「暗号化キー」と呼ばれるパスワードのような任意の文字列にあたります。Wi-Fiでは、この暗号化技術が通信内容を解読されないようにするための“唯一にして最大の防御手段”と言えますので、暗号化された通信を読み取るための暗号化キーはできる限り複雑な文字列が利用できるように設定することが重要になります。

 Wi-Fi通信が暗号化されているか、されていないかはSSIDのリストを表示させるとカギや錠前のマーク(アイコン)が表示されているかどうかで判別できます(接続しようとしたときに安全ではない親機とOSが警告を表示することもあります)。Wi-Fi通信の暗号化が設定されていない場合、悪意のあるユーザーに通信を“覗き見”されて、通信しているデータやファイルを盗まれたり、改ざんしたりされる恐れがあるので、暗号化なしのWi-Fiを使用するのは絶対に避けましょう。

Wi-Fiルーター(アクセスポイント、Wi-Fiの親機)を識別する名前「SSID」は、電波エリア内で受信できリスト表示される。カギ/錠前マークは暗号化が設定されている印

 また、ご自分でWi-Fiルーターを設置して使い始めるとき、最近は初期設定時に変更させる製品も多いですが、買ったままの状態では使わないようにして、必ず設定画面にアクセスして、Wi-Fiの暗号化の認証方式と暗号化方式の設定を確認の上、できれば初期設定から変更してから使い始めるように心掛けてください。また、ホテルやカフェなど公共の場に設置されたフリーのWi-Fiスポットを利用する際は、暗号化通信が有効になっているものを使うのが最低限の心得と言えます。


最新の「Wi-Fi 6」ルーターで安全な暗号化モード「WPA3」を使う

 ここから少し話が複雑になります。Wi-Fiの暗号化は、実際には“認証”と“暗号化方式”、“使っている暗号化アルゴリズム”を組み合わせたものになっています。Wi-Fiルーターの設定などでは、これらを分かりやすくシンプルにまとめた「暗号化モード」などと書かれていることもあります。Wi-Fiの安全性を高めるには、この暗号化モードの“強さ”を確保することが大切です。

 Wi-Fiが一般に使われはじめてから20年以上経過するなかで、いくつかの暗号化モードが登場していますが、不正に通信を傍受しようとする“悪者”の攻撃に幾度となく晒され、それを乗り越えるかのように強力なものにアップデートされています。たとえば、最初に使われていた「WEP」という暗号化規格は、2001年ごろには簡単に解読することができてしまっています。以降セキュリティを強くする対策を重ね、「WPA」、「WPA2」と進化していき、最新は「WPA3」です。

【Wi-Fi暗号化規格のまとめ】
セキュリティ規格WPA3-PersonalWPA2-PSKWPA-PSKWEP
認証方式SAEPSKPSKOpen System/Shared Key
暗号化方式CCMP/GCMPCCMPTKIPCCMPTKIPWEP
暗号化アルゴリズムAESAESRC4AESRC4RC4
安全度現状で最強WPA-PSKより安全。WPA3-Personalに切り替えられるのであればさらに良い(*1)あまり見かけない。使わないで!TKIPより安全。できればWPA3-PersonalやWPA2-PSKにしていきたい(*1)結構使われているが今後は使わないで!絶対使わないで!!

*1 2017年に「KRACKs」と呼ばれる脆弱性が発見されたが、既に対策アップデートが提供されている(詳細は後述)

 暗号化モードを構成する規格はちょっと複雑なので、上記の表にまとめてみました。用語を覚える必要はあまりありませんが、どのモードが現時点で安全か、ということを見てみてください。

 この表の「AES」と書かれている暗号化アルゴリズムは、いまだに防御が破られていないので、現時点では安心です。ご自身でWi-Fiルーターの設定をするときに「AES」と「TKIP」を選択できる場合には、必ずこの「AES」を選択しましょう。最新の「WPA3」を選択すれば、必ず「AES」を使うことになります。

「WEP」の暗号化規格は、設定があっても絶対に使わない!
WEPは暗号化の“鍵”を知っている機器同士が暗号通信ができるという仕組みなのだが、鍵の桁数が少ない、通信データの構成要素の一部は暗号化されていない、データが改ざんされやすい、鍵の復元が容易でツールまで出回ってしまっている、といった致命的な弱点がある。極めて脆弱な暗号化方式になってしまったので、絶対に使うのは避けるべき

 Wi-Fiの暗号化方式は、およそ3~5年程度で新しいものが登場して切り換わっています。セキュリティの面で考えると、最新の暗号化方式に対応しなくなった古めのWi-Fiルーターは、壊れていなくても適宜買い換えをしていくのがベストです。これは子機側の端末も同様で、なるべく新しいOSにアップデートして最新暗号化方式に対応させ、あまりに古過ぎるデバイスはWi-Fiに接続しないようにしましょう(古いゲーム端末などを使いたい場合は、ルーターのゲスト機能などを活用して一時的に使用する、という方法などがあります)。

 同時に、新しいWi-Fiルーターは最新の通信技術に対応するようになっているので、通信速度が今までより高速になって、快適さもアップします。近年はおおむね5~6年ぐらいのペースで新しい通信技術を取り入れた規格が登場しており、最新・最速の「Wi-Fi 6」に対応したWi-Fiルーターが2021年ごろから広く普及しています。暗号化規格も最新の「WPA3(WPA3-Personal)」が装備されていますので、今から買い換えるのであれば、Wi-Fi6対応ルーターを選択することをお勧めします。

最新の「Wi-Fi 6」を選んで、高速で安全なWi-Fiを活用してください

 すでにスマホやPCなどの子機側も「Wi-Fi 6」対応が増えてきています。たとえば、iPhoneであれば、11シリーズ以降や第2世代iPhone SEから「Wi-Fi 6」に対応しています。Android端末も新しめの端末であれば多くの製品が対応してきているので、スペック表やWebの情報などで確認してください。暗号化規格の「WPA3」は、主要な最新OSであればPC、スマホともにすべて対応済みです。

 Wi-Fiルーター側は、最新の「WPA3」に設定するのがセキュリティ対策としては最善です。しかし、ゲーム機や情報家電、ちょっと前のタブレットやスマホなどが、最新規格に対応していない、ということもあります。そんな場合は、最新の「WPA3」と一世代前の「WPA2」のどちらでも使える「WPA2/WPA3-Personal」などの2つの暗号化規格を併用できる設定が便利です。ただし、この設定ができる製品はまだ一部です。メーカーにもよるので、できれば事前確認するのがよいでしょう。当面は併用モードを使用し、いずれ子機側の機器が更新されてすべて「WPA3」対応端末になったら、完全に「WPA3」のみに切り換えるようにしましょう。

これが現状の正解。「WPA3-Personal」もしくは互換性を考え「WPA2/WPA3-Personal」を選択。「AES」は自動的に選択されます

 なお、「WPA3」より前、現在でも利用されることの多い「WPA2」、「WPA」の安全性については、少し注意が必要です。「WEP」、「TKIP」のように簡単にクラック(悪意のある不正アクセスや侵入、改ざん・破壊など)されるにはいたっていませんが、2017年頃に「KRACKs」と呼ばれる脆弱性が発見され、通信を覗き見られる可能性が発覚して、一時騒ぎがおきたことがありました。現在は対策アップデートが提供され危険性はふさがっていて、以後のハッキング被害は聞かれていません。このため「WPA2」も安全と考えて問題ありませんが、上記「KRACKs」対策後に策定され、より強固になっている「WPA3」へなるべく早めに以降することが望ましいでしょう。

 ほかにも、「WPS」や「AOSS」、「らくらく無線スタート」などと呼ばれるボタンプッシュしている間にWi-Fiを接続設定を自動で行なってくれるという便利機能がありますが、「WPA3」環境ではこの機能は使えなくなりました。「WPA3」の環境を作る場合は、「WPS」は使わずに自分でSSIDと暗号化規格、暗号化キーを設定の上、設定した暗号化キーでアクセスします。


「MACアドレス」を使ったアクセス制限はセキュリティ対策にはならない

 ネットワーク通信に使用する通信機器やLANポートには、メーカー名などを含む固有の番号「MACアドレス」が割り振られています。実際の機器やポートを指すアドレスなので「物理アドレス」とも呼ばれています。アドレスの書式は「1A-2B-3C-4D-5E-6F」のような並びで、16進数を使った値で表現されます(ハイフンの代わりにコロン「:」で桁を区切ることもあります)。

 MACアドレスはWi-Fiの通信でも使われていて、普及初期のころにはセキュリティ機能を担うものの一つとして扱われることがありました。「MACアドレスフィルタリング」という機能で、Wi-Fiルーターに登録したMACアドレス以外の機器はWi-Fiルーターに接続できなくするというものです。

 しかし、これは実際にはセキュリティには寄与しません。なぜなら、MACアドレスは固有であるにもかかわらず、書き換えもできてしまうからです。「MACアドレスフィルタリング」を設定すると、単に使い勝手が悪くなるだけなので、セキュリティの一環として利用するのではなく、なんらかの理由で特定機器だけを接続させたいという目的でのみ使うもの、と覚えておきましょう。

 また、2021年頃から「ランダムMACアドレス」と呼ぶ機能が付くようになってきました。これはWi-Fiルーターではなく、子機側(のOS)に追加された機能です。その名のとおり、子機側でMACアドレスをランダムで変更し、MACアドレスから子機を特定しにくくするというものです。

 たとえば、iPhone(iOS 14以降)では「プライベートアドレス」、Windows 11では「ランダムなハードウェアアドレス」という設定項目が用意されており、それぞれWi-Fiの設定メニュー内でONにすることで利用できます(iPhoneでプライベートアドレスを有効にすると、MACアドレスは「Wi-Fiアドレス」と表記されるようになります)。

Windows 11のWi-Fi設定にある「ランダムなハードウェアアドレス」

 ランダムMACアドレスの目的は、“プライバシーの保護”です。MACアドレスは機器同士のやり取りに使われているため、暗号通信はされておらず、電波通信のデータで常に表示されているものです。Wi-Fiルーターの接続履歴からMACアドレスを確認できますし、Wi-Fiの電波を“覗き見”して確認することもできてしまいます。言い換えれば、MACアドレスを不正に入手して、特定の通信機器を長期にわたって追跡することも不可能ではないのです。

 たとえば公衆Wi-Fiで常にログをとっていれば、個人が誰かまでは分からなくても、「いつも昼休みにこのMACアドレスのスマホは接続しているな」ということは調査することができます。しかし、ランダムMACアドレスを使用していると、MACアドレス自体がときどき自動変更されるのですから、仮に通信を傍受してMACアドレスを盗み出したとしても、機器の特定や追跡は困難になる、というワケです。

 一方で、この機能の搭載により「MACアドレスフィルタリング」はさらに使いにくくなりました。しかし、前述のとおりMACアドレスフィルタリングはWi-Fiのセキュリティにはなりませんので、Wi-Fiルーターの設定を見直し、必ず暗号化通信機能をしっかりと設定して利用するようにしてください。この際、ランダムMACアドレス機能は、プライバシー保護のためにもONにしておくことをお勧めします。


新しいセキュリティに合わせて定期的に機器も見直そう

 Wi-Fiルーターを含めたIT機器で使われるネットワーク技術は、常に進化を続けています。とくにセキュリティ規格に関しては、いわゆる「ハッカー」などの“悪者”が悪用する脆弱性に対応するためにアップデートを継続的におこなっていく必要があります。それには、Wi-Fiルーターのファームウェアアップデート、各デバイスのOSのアップデートをして、常に最新にしておくようにします。

 インターネットに接続して使うデバイスは、あまりに古いモデルを更新せずに使うことは大きなリスクになります。アップデートが実施されなくなったデバイスはインターネットから遮断し、新しいモデルに交換していくことも考えてください。Wi-Fiルーターは、Wi-Fi規格が刷新されるようなタイミングなどで定期的に交換して、なるべく安全な状態で利用するようにすることをお勧めします。安全性だけでなく、速度、使い勝手の向上などのメリットも魅力です。

なおこれらの情報は、オンライン講座「gacco」で、無線LANのセキュリティに関する講座でも紹介されています(2022年3月25日 23:59まで)

https://gacco.org/wifi-security2/

(制作協力:総務省 サイバーセキュリティ統括官室)